等保3技术部分差距分析一览表.xls

第1页共1页 信息安全等级保护 三级 技术部分差距分析一览表 总体 分类 项目 分类 考察项目基本要求评测实施 测评方式 测评对象 建设实现 7 1 技术 要求 7 1 1 物理 安全 7 1 1 1 物理位置 的选择 G3 a 机房和办公场地应选择在具有防震 防风和防雨等能力的建筑内 a 应访谈物理安全负责人 询问现有机房和办公场地 放置终端计算机设备 的环境条件是否能够满足信息系 统业务需求和安全管理需求 是否具有基本的防震 防 风和防雨等能力 询问机房场地是否符合选址要求 b 应访谈机房维护人员 询问是否存在因机房和办公场 地环境条件引发的安全事件或安全隐患 如果某些环境 条件不能满足 是否及时采取了补救措施 c 应检查机房和办公场地的设计 验收文档 查看是否 有机房和办公场地所在建筑能够具有防震 防风和防雨 等能力的说明 查看是否有机房场地的选址说明 查看 是否与机房和办公场地实际情况相符合 d 应检查机房和办公场地是否在具有防震 防风和防雨 等能力的建筑内 e 应检查机房场地是否避免在建筑物的高层或地下室 以及用水设备的下层或隔壁 f 应检查机房场地是否避免设在强电场 强磁场 强震 动源 强噪声源 重度环境污染 易发生火灾 水灾 易遭受雷击的地区 g 如果机房和办公场地的显示器 打印机等设备有敏感 或密级信息输出 应检查设备摆放位置是否为不易被无 关人员看到的隐蔽位置 访谈 检查 物理安全负责人 机房维护人员 机房 办公场 地 机房场地设 计 验收文档 a 如果7 1 1 1 4 a 中机房 场地的选址符合不在建筑物的高 层或地下室 以及用水设备的下 层或隔壁 不在强电场 强磁场 强震动源 强噪声源 重度环 境污染 易发生火灾 水灾 易 遭受雷击的地区等要求 则该项 为肯定 b 如果7 1 1 1 4 g 中 如 果 条件不成立 则该项为不适 用 b 机房场地应避免设在建筑物的高层或 地下室 以及用水设备的下层或隔壁 c 机房场地应当避开强电场 强磁场 强 震动源 强噪声源 重度环境污染 易发 生火灾 水灾 易遭受雷击的地区 7 1 1 2 物理访问 控制 G3 a 机房出入口应安排专人值守 控制 鉴 别和记录进入的人员 a 应访谈物理安全负责人 了解具有哪些控制机房进出 的能力 b 应访谈物理安全负责人 如果业务或安全管理需要 是否对机房进行了划分区域管理 是否对各个区域都有 专门的管理要求 c 应访谈机房值守人员 询问是否认真执行有关机房出 入的管理制度 是否对进入机房的人员记录在案 d 应检查机房安全管理制度 查看是否有关于机房出入 方面的规定 e 应检查机房出入口是否有专人值守 是否有值守记录 以及进出机房的人员登记记录 检查机房是否存在电 子门禁系统控制之外的出入口 f 应检查机房是否有进入机房的人员身份鉴别措施 如 戴有可见的身份辨识标识 g 应检查是否有来访人员进入机房的审批记录 h 应检查机房区域划分是否合理 是否在机房重要区域 前设置交付或安装等过渡区域 是否对不同区域设置不 同机房或者同一机房的不同区域之间设置有效的物理隔 离装置 如隔墙等 i 应检查机房或重要区域配置的电子门禁系统是否有验 收文档或产品安全资质 j 应检查电子门禁系统是否正常工作 不考虑断电后的 工作情况 查看电子门禁系统运行 维护记录 查看 监控进入机房的电子门禁系统记录 是否能够鉴别和记 录进入的人员身份 访谈 检查 物理安全负责人 机房值守人员 机房设施 电 子门禁系统 机房安全管理制 度 值守记录 进入机房的登记 记录 来访人员 进入机房的审批 记录 电子门禁 系统记录 a 如果有机房出入的管理制度 指定了专人在机房出入口值守 对进入的人员登记在案并进行 身份鉴别 对来访人员须经批准 限制和监控其活动范围 机房 或重要区域配置了电子门禁系统 则7 1 1 2 4 a 为肯定 b 如果7 1 1 2 4 b 认为没 有必要对机房进行划分区域管理 如果安全管理需要 计算机设 备宜采用分区布置 如可分为主 机区 存贮器区 数据输入区 数据输出区 通信区和监控调度 区等 则测评实施h 不适用 c 如果有机房出入的管理制度 指定了专人在机房出入口值守 对进入的人员登记在案并进行 身份鉴别 对来访人员须经批准 限制和监控其活动范围 电子 门禁系统管理 则7 1 1 2 4 d 为肯定 b 需进入机房的来访人员应经过申请和审 批流程 并限制和监控其活动范围 c 应对机房划分区域进行管理 区域和区 域之间设置物理隔离装置 在重要区域前 设置交付或安装等过渡区域 第2页共2页 d 重要区域应配置电子门禁系统 控制 鉴别和记录进入的人员 7 1 1 3 防盗窃和 防破坏 G3 a 应将主要设备放置在机房内 a 应访谈物理安全负责人 采取了哪些防止设备 介质 等丢失的保护措施 b 应访谈机房维护人员 询问主要设备放置位置是否做 到安全可控 设备或主要部件是否进行了固定和标记 通 信线缆是否铺设在隐蔽处 是否设置了冗余或并行的通 信线路 是否对机房安装的防盗报警系统和监控报警系 统进行定期维护检查 c 应访谈资产管理员 在介质管理中 是否进行了分类 标识 是否存放在介质库或档案室中 询问对设备或存 储介质携带出工作环境是否规定了审批程序 内容加密 专人检查等安全保护的措施 d 应检查主要设备是否放置在机房内或其它不易被盗窃 和破坏的可控范围内 检查主要设备或设备的主要部件 的固定情况 是否不易被移动或被搬走 是否设置明显 的无法除去的标记 e 应检查通信线缆铺设是否在隐蔽处 如铺设在地下或 管道中等 f 应检查介质的管理情况 查看介质是否有正确的分类 标识 是否存放在介质库或档案室中 并且进行分类存 放 满足磁介质 纸介质等的存放要求 红外报警等 措施 g 应检查机房防盗报警设施是否正常运行 并查看运行 和报警记录 应检查机房的摄像 传感等监控报警系统 是否正常运行 并查看运行记录 监控记录和报警记录 h 应检查有关设备或存储介质携带出工作环境的审批记 录 以及专人对内容加密进行检查的记录 i 应检查是否有设备管理制度文档 通信线路布线文档 介质管理制度文档 介质清单和使用记录 机房防盗 报警设施的安全资质材料 安装测试 验收报告 查看文 档中的条文是否与设备放置位置 设备或主要部件保护 通信线缆铺设等实际情况一致 j 应检查是否设置光 电技术监控报警系统 如红外等 满足其一即可 a 如果有设备管理制度 主要 设备放置位置做到安全可控 设 备或主要部件进行了固定和标记 通信线缆铺设在隐蔽处 介质 分类标识并存储在介质库或档案 室 机房安装了防止进入盗窃和 破坏的利用光 电等技术设置的 机房防盗报警系统 设备或存储 介质携带出工作环境的审批程序 内容加密 专人检查等措施 机房设置了摄像 传感等监控报 警系统 则7 1 1 3 4 a 为肯 定 b 应将设备或主要部件进行固定 并设 置明显的不易除去的标记 c 应将通信线缆铺设在隐蔽处 可铺设 在地下或管道中 d 应对介质分类标识 存储在介质库或 档案室中 e 设备或存储介质携带出工作环境时 应受到监控和内容加密 f 应利用光 电等技术设置机房防盗报 警系统 g 应对机房设置监控报警系统 7 1 1 4 防雷击 G3 a 机房建筑应设置避雷装置 a 应访谈物理安全负责人 询问为防止雷击事件导致重 要设备被破坏采取了哪些防护措施 机房建筑是否设置 了避雷装置 是否通过验收或国家有关部门的技术检测 b 应访谈机房维护人员 询问机房建筑避雷装置是否有 人定期进行检查和维护 询问机房计算机系统接地 交 流工作接地 安全保护接地 是否符合GB50174 93 电子计算机机房设计规范 的要求 c 应检查机房是否有建筑防雷设计 验收文档 机房接 地设计 验收文档 查看是否有地线连接要求的描述 与 实际情况是否一致 是否在电源和信号线增加有资质的 避雷装置 以避免感应雷击 d 应检查机房是否在电源和信号线增加有资质的避雷装 置 以避免感应雷击 询问机房计算机系统接地是否设置 了专用地线 访谈 检查 物理安全负责人 机房维护人员 机房设施 建 筑防雷设计 验 收文档 a 如果计算机机房防雷符合GB 50057 1994 建筑物防雷设计 规范 GB157 建筑防雷设计 规范 要求 而且如果是在雷 电频繁区域 装设浪涌电压吸收 装置等 则7 1 1 4 4 a 为肯 定 b 如果地线的引线和大楼的钢 筋网及各种金属管道绝缘 交流 工作接地的接地电阻不大于4 安全保护地的接地电阻不大于 4 防雷保护地 处在有防雷 设施的建筑群中可不设此地 的 接地电阻不大于10 的要求 则7 1 1 4 4 b 为肯定 b 应设置防雷保安器 防止感应雷 7 1 技术 要求 7 1 1 物理 安全 7 1 1 2 物理访问 控制 G3 a 应访谈物理安全负责人 了解具有哪些控制机房进出 的能力 b 应访谈物理安全负责人 如果业务或安全管理需要 是否对机房进行了划分区域管理 是否对各个区域都有 专门的管理要求 c 应访谈机房值守人员 询问是否认真执行有关机房出 入的管理制度 是否对进入机房的人员记录在案 d 应检查机房安全管理制度 查看是否有关于机房出入 方面的规定 e 应检查机房出入口是否有专人值守 是否有值守记录 以及进出机房的人员登记记录 检查机房是否存在电 子门禁系统控制之外的出入口 f 应检查机房是否有进入机房的人员身份鉴别措施 如 戴有可见的身份辨识标识 g 应检查是否有来访人员进入机房的审批记录 h 应检查机房区域划分是否合理 是否在机房重要区域 前设置交付或安装等过渡区域 是否对不同区域设置不 同机房或者同一机房的不同区域之间设置有效的物理隔 离装置 如隔墙等 i 应检查机房或重要区域配置的电子门禁系统是否有验 收文档或产品安全资质 j 应检查电子门禁系统是否正常工作 不考虑断电后的 工作情况 查看电子门禁系统运行 维护记录 查看 监控进入机房的电子门禁系统记录 是否能够鉴别和记 录进入的人员身份 访谈 检查 物理安全负责人 机房值守人员 机房设施 电 子门禁系统 机房安全管理制 度 值守记录 进入机房的登记 记录 来访人员 进入机房的审批 记录 电子门禁 系统记录 a 如果有机房出入的管理制度 指定了专人在机房出入口值守 对进入的人员登记在案并进行 身份鉴别 对来访人员须经批准 限制和监控其活动范围 机房 或重要区域配置了电子门禁系统 则7 1 1 2 4 a 为肯定 b 如果7 1 1 2 4 b 认为没 有必要对机房进行划分区域管理 如果安全管理需要 计算机设 备宜采用分区布置 如可分为主 机区 存贮器区 数据输入区 数据输出区 通信区和监控调度 区等 则测评实施h 不适用 c 如果有机房出入的管理制度 指定了专人在机房出入口值守 对进入的人员登记在案并进行 身份鉴别 对来访人员须经批准 限制和监控其活动范围 电子 门禁系统管理 则7 1 1 2 4 d 为肯定 第3页共3页 c 机房应设置交流电源地线 7 1 1 5 防火 G3 a 机房应设置火灾自动消防系统 能够 自动检测火情 自动报警 并自动灭火 a 应访谈物理安全负责人 询问机房是否设置了灭火设 备 是否设置了自动检测火情 自动报警 自动灭火的 自动消防系统 是否有专人负责维护该系统的运行 是 否制订了有关机房消防的管理制度和消防预案 是否进 行了消防培训 b 应访谈机房值守人员 询问对机房出现的消防安全隐 患是否能够及时报告并得到排除 是否参加过机房灭火 设备的使用培训 是否能够正确使用灭火设备和自动消 防系统 喷水不适用于机房 c 应检查机房是否设置了自动检测火情 如使用温感 烟感探测器 自动报警 自动灭火的自动消防系统 摆放位置是否合理 有效期是否合格 应检查自动消防 系统是否正常工作 查看运行记录 报警记录 定期检 查和维修记录 d 应检查是否有机房消防方面的管理制度文档 检查是 否有机房防火设计 验收文档 检查是否有机房自动消防 系统的设计 验收文档 文档是否与现有消防配置状况一 致 检查是否有机房及相关房间的建筑材料 区域隔离 防火措施的验收文档或消防检查验收文档 e 应检查机房是否采取区域隔离防火措施 将重要设备 与其他设备隔离开 访谈 检查 物理安全负责人 机房值守人员 机房设施 机 房安全管理制度 机房防火设计 验收文档 自 动消防系统设计 验收文档 b 机房及相关的工作房间和辅助房应采 用具有耐火等级的建筑材料 c 机房应采取区域隔离防火措施 将重 要设备与其他设备隔离开 7 1 1 6 防水和防 潮 G3 a 水管安装 不得穿过机房屋顶和活动 地板下 a 应访谈物理安全负责人 询问机房建设是否有防水防 潮措施 如果机房内有上下水管安装 是否避免穿过屋 顶和活动地板下 穿过墙壁和楼板的水管是否采取了的 保护措施 如设置套管 在湿度较高地区或季节是否有 人负责机房防水防潮事宜 配备除湿装置 b 应访谈机房维护人员 询问机房是否出现过漏水和返 潮事件 如果机房内有上下水管安装 是否经常检查是 否有漏水情况 如果出现机房水蒸气结露和地下积水的 转移与渗透现象是否采取防范措施 c 应检查机房是否有建筑防水和防潮设计 验收文档 是否与机房防水防潮的实际情况一致 d 如果有管道穿过主机房墙壁和楼板处 应检查是否有 必要的保护措施 如设置套管等 e 应检查机房是否不存在屋顶和墙壁等出现过漏水 渗 透和返潮现象 机房及其环境是否不存在明显的漏水和 返潮的威胁 如果出现漏水 渗透和返潮现象是否能够 及时修复解决 f 如果在湿度较高地区或季节 应检查机房是否有湿度 记录 是否有除湿装置并能够正常运行 是否有防止出 现机房地下积水的转移与渗透的措施 是否有防水防潮 处理记录和除湿装置运行记录 与机房湿度记录情况是 否一致 访谈 检查 物理安全负责人 机房维护人员 机房设施 建 筑防水和防潮设 计 验收文档 机房湿度记录 除湿装置运行记 录 a 如果7 1 1 6 4 d f 中 如果 条件不成立 则该项 为不适用 b 应采取措施防止雨水通过机房窗户 屋顶和墙壁渗透 c 应采取措施防止机房内水蒸气结露和 地下积水的转移与渗透 7 1 技术 要求 7 1 1 物理 安全 7 1 1 4 防雷击 G3 a 应访谈物理安全负责人 询问为防止雷击事件导致重 要设备被破坏采取了哪些防护措施 机房建筑是否设置 了避雷装置 是否通过验收或国家有关部门的技术检测 b 应访谈机房维护人员 询问机房建筑避雷装置是否有 人定期进行检查和维护 询问机房计算机系统接地 交 流工作接地 安全保护接地 是否符合GB50174 93 电子计算机机房设计规范 的要求 c 应检查机房是否有建筑防雷设计 验收文档 机房接 地设计 验收文档 查看是否有地线连接要求的描述 与 实际情况是否一致 是否在电源和信号线增加有资质的 避雷装置 以避免感应雷击 d 应检查机房是否在电源和信号线增加有资质的避雷装 置 以避免感应雷击 询问机房计算机系统接地是否设置 了专用地线 访谈 检查 物理安全负责人 机房维护人员 机房设施 建 筑防雷设计 验 收文档 a 如果计算机机房防雷符合GB 50057 1994 建筑物防雷设计 规范 GB157 建筑防雷设计 规范 要求 而且如果是在雷 电频繁区域 装设浪涌电压吸收 装置等 则7 1 1 4 4 a 为肯 定 b 如果地线的引线和大楼的钢 筋网及各种金属管道绝缘 交流 工作接地的接地电阻不大于4 安全保护地的接地电阻不大于 4 防雷保护地 处在有防雷 设施的建筑群中可不设此地 的 接地电阻不大于10 的要求 则7 1 1 4 4 b 为肯定 第4页共4页 d 应安装对水敏感的检测仪表或元件 对机房进行防水检测和报警 7 1 1 7 防静电 G3 a 主要设备应采用必要的接地防静电措 施 a 应访谈物理安全负责人 询问机房是否采用必要的接 地等防静电措施 是否有控制机房湿度的措施 在静电 较强地区的机房是否采取了有效的防静电措施 b 应访谈机房维护人员 询问是否经常检查机房湿度 并控制在GB2887中的规定的范围内 询问机房是否存在 静电问题或因静电引起的故障事件 如果存在静电时是 否及时采取消除静电的措施 c 应检查机房是否有防静电设计 验收文档 查看其描 述内容与实际情况是否一致 d 应检查机房是否有安全接地 查看机房的相对湿度的 记录是否符合GB2887中的规定 查看机房是否不存在明 显的静电现象 e 如果在静电较强的地区 应检查机房是否了采用了如 防静电地板 防静电工作台 以及静电消除剂和静电消 除器等措施 访谈 检查 物理安全负责人 机房维护人员 机房设施 防 静电设计 验收 文档 湿度记录 a 7 1 1 7 4 e 中有效的防 静电措施 可以包括如防静电地 板 防静电工作台 或静电消除 剂和静电消除器等措施的部分或 全部 则该项为肯定 b 如果7 1 1 7 4 e 中 如 果 条件不成立 则该项为不适 用 b 机房应采用防静电地板 7 1 1 8 温湿度控 制 G3 机房应设置温 湿度自动调节设施 使机 房温 湿度的变化在设备运行所允许的范 围之内 a 应访谈物理安全负责人 询问机房是否配备了恒温恒 湿系统 保证温湿度能够满足计算机设备运行的要求 是否在机房管理制度中规定了温湿度控制的要求 是否 有人负责此项工作 b 应访谈机房维护人员 询问是否定期检查和维护机房 的温湿度自动调节设施 询问是否出现过温湿度影响系 统运行的事件 c 应检查机房是否有温湿度控制设计 验收文档 是否 能够满足系统运行需要 是否与当前实际情况相符合 d 应检查恒温恒湿系统是否能够正常运行 查看是否有 温湿度记录 运行记录和维护记录 查看机房温 湿度 是否满足GB 2887 89 计算站场地技术条件 的要求 访谈 检查 物理安全负责人 机房维护人员 机房设施 温 湿度控制设计 验收文档 温湿 度记录 运行记 录和维护记录 7 1 1 9 电力供应 A3 a 应在机房供电线路上配置稳压器和过 电压防护设备 a 应访谈物理安全负责人 询问计算机系统供电线路是 否与其他供电分开 询问计算机系统供电线路上是否设 置了稳压器和过电压防护设备 是否设置了短期备用电 源设备 如UPS 供电时间是否满足系统最低电力供应 需求 是否安装了冗余或并行的电力电缆线路 如双路 供电方式 是否建立备用供电系统 如备用发电机 b 应访谈机房维护人员 询问是对在计算机系统供电线 路上的稳压器 过电压防护设备 短期备用电源设备等 进行定期检查和维护 是否能够控制电源稳压范围满足 计算机系统运行正常 c 应访谈机房维护人员 询问冗余或并行的电力电缆线 路 如双路供电方式 在双路供电切换时是否能够对计 算机系统正常供电 是否定期检查备用供电系统 如备 用发电机 是否能够在规定时间内正常启动和正常供 电 d 应检查机房是否有电力供应安全设计 验收文档 查 看文档中是否标明单独为计算机系统供电 配备稳压器 过电压防护设备 备用电源设备以及冗余或并行的电 力电缆线路等要求 查看与机房电力供应实际情况是否 一致 e 应检查计算机供电线路 查看计算机系统供电是否与 其他供电分开 f 应检查机房 查看计算机系统供电线路上的稳压器 过电压防护设备和短期备用电源设备是否正常运行 查 看供电电压是否正常 g 应检查是否有稳压器 过电压防护设备以及短期备用 电源设备等电源设备的检查和维护记录 以及冗余或并 行的电力电缆线路切换记录 备用供电系统运行记录 以及上述计算机系统供电的运行记录 是否能够符合系 统正常运行的要求 h 应测试安装的冗余或并行的电力电缆线路 如双路供 电方式 是否能够进行双路供电切换 i 应测试备用供电系统 如备用发电机 是否能够在规 定时间内正常启动和正常供电 访谈 检查 测 试 物理安全负责人 机房维护人员 机房设施 电 力供应安全设计 验收文档 检 查和维护记录 7 1 技术 要求 7 1 1 物理 安全 7 1 1 6 防水和防 潮 G3 a 应访谈物理安全负责人 询问机房建设是否有防水防 潮措施 如果机房内有上下水管安装 是否避免穿过屋 顶和活动地板下 穿过墙壁和楼板的水管是否采取了的 保护措施 如设置套管 在湿度较高地区或季节是否有 人负责机房防水防潮事宜 配备除湿装置 b 应访谈机房维护人员 询问机房是否出现过漏水和返 潮事件 如果机房内有上下水管安装 是否经常检查是 否有漏水情况 如果出现机房水蒸气结露和地下积水的 转移与渗透现象是否采取防范措施 c 应检查机房是否有建筑防水和防潮设计 验收文档 是否与机房防水防潮的实际情况一致 d 如果有管道穿过主机房墙壁和楼板处 应检查是否有 必要的保护措施 如设置套管等 e 应检查机房是否不存在屋顶和墙壁等出现过漏水 渗 透和返潮现象 机房及其环境是否不存在明显的漏水和 返潮的威胁 如果出现漏水 渗透和返潮现象是否能够 及时修复解决 f 如果在湿度较高地区或季节 应检查机房是否有湿度 记录 是否有除湿装置并能够正常运行 是否有防止出 现机房地下积水的转移与渗透的措施 是否有防水防潮 处理记录和除湿装置运行记录 与机房湿度记录情况是 否一致 访谈 检查 物理安全负责人 机房维护人员 机房设施 建 筑防水和防潮设 计 验收文档 机房湿度记录 除湿装置运行记 录 a 如果7 1 1 6 4 d f 中 如果 条件不成立 则该项 为不适用 第5页共5页 b 应提供短期的备用电力供应 至少满 足主要设备在断电情况下的正常运行要求 c 应设置冗余或并行的电力电缆线路为 计算机系统供电 d 应建立备用供电系统 7 1 1 10 电磁防护 S3 a 应采用接地方式防止外界电磁干扰和 设备寄生耦合干扰 a 应访谈物理安全负责人 询问是否有防止外界电磁干 扰和设备寄生耦合干扰的措施 包括设备外壳有良好的 接地 电源线和通信线缆隔离等 是否对处理秘密级 信息的设备采取了防止电磁泄露的措施 b 应访谈机房维护人员 询问是否对设备外壳做了良好 的接地 是否做到电源线和通信线缆隔离 是否出现过 因电磁防护问题引发的故障 处理秘密级信息的设备是 否为低辐射设备 是否安装了满足BMB4 2000 电磁干 扰器技术要求和测试方法 要求的二级电磁干扰器 c 应检查机房是否有电磁防护设计 验收文档 查看其 描述内容与实际情况是否一致 d 应检查机房设备外壳是否有安全接地 e 应检查机房布线 查看是否做到电源线和通信线缆隔 离 f 应检查使用电磁干扰器的涉密设备开机 是否同时开 启电磁干扰器 访谈 检查 物理安全负责人 机房维护人员 机房设施 电 磁防护设计 验 收文档 b 电源线和通信线缆应隔离铺设 避免 互相干扰 c 应对关键设备和磁介质实施电磁屏蔽 7 1 2 网络 安全 7 1 2 1 结构安全 G3 a 应保证主要网络设备的业务处理能力 具备冗余空间 满足业务高峰期需要 a 可访谈网络管理员 询问信息系统中的边界和主要网 络设备的性能以及目前业务高峰流量情况 b 可访谈网络管理员 询问网段划分情况以及划分的原 则 询问重要的网段有哪些 对重要网段的保护措施有 哪些 c 可访谈网络管理员 询问网络的带宽情况 询问网络 中带宽控制情况以及带宽分配的原则 d 可访谈网络管理员 询问网络设备上的路由控制策略 措施有哪些 这些策略设计的目的是什么 e 应检查网络拓扑图 查看其与当前运行情况是否一致 f 应检查网络设计 验收文档 查看是否有边界和主要 网络设备能满足基本业务需求 网络接入及核心网络的 带宽能满足业务高峰期的需要 是否不存在带宽瓶颈等 方面的设计或描述 g 应检查网络设计 验收文档 查看是否有根据各部门 的工作职能 重要性和所涉及信息的重要程度等因素 划分不同的子网或网段 并按照方便管理和控制的原则 为各子网和网段分配地址段的设计或描述 h 应检查边界和主要网络设备 查看是否配置路由控制 策略 如使用静态路由等 建立安全的访问路径 i 应检查边界和主要网络设备 查看重要网段是否采取 了网络地址与数据链路地址绑定的措施 如对重要服务 器采用IP地址和MAC地址绑定措施 j 应检查边界和主要网络设备 查看是否有对带宽进行 控制的策略 如路由 交换设备上的QOS策略配置情况 专用的带宽管理设备的配置策略等 这些策略能否保 证在网络发生拥堵的时候优先保护重要业务 如重要业 务的主机的优先级要高于非重要业务的主机 k 应测试网络拓扑结构 可通过网络拓扑结构自动发现 绘制工具 验证实际的网络拓扑结构和网络拓扑结构 图是否一致 l 应测试业务终端与业务服务器之间的访问路径 可通 过使用路由跟踪工具 如tracert等工具 验证业务 终端与业务服务器之间的访问路径是否安全 如访问路 径是否固定等 m 应测试重要网段 验证其采取的网络地址与数据链路 地址绑定措施是否有效 如试图使用非绑定地址 查看 是否能正常访问等 n 应测试网络带宽分配策略 可通过使用带宽测试工具 测试网络带宽分配是否有效 访谈 检查 测 试 网络管理员 边 界和主要网络设 备 网络拓扑图 网络设计 验 收文档 咨询服务 了解关键网络设备 如路由器 交换机 防火墙 UTM等 的处理能力 同时了 解业务高峰期的带宽占用 两者 对比来确定本项是否满足 如果 不满足 给出解决建议 7 1 技术 要求 7 1 1 物理 安全 7 1 1 9 电力供应 A3 a 应访谈物理安全负责人 询问计算机系统供电线路是 否与其他供电分开 询问计算机系统供电线路上是否设 置了稳压器和过电压防护设备 是否设置了短期备用电 源设备 如UPS 供电时间是否满足系统最低电力供应 需求 是否安装了冗余或并行的电力电缆线路 如双路 供电方式 是否建立备用供电系统 如备用发电机 b 应访谈机房维护人员 询问是对在计算机系统供电线 路上的稳压器 过电压防护设备 短期备用电源设备等 进行定期检查和维护 是否能够控制电源稳压范围满足 计算机系统运行正常 c 应访谈机房维护人员 询问冗余或并行的电力电缆线 路 如双路供电方式 在双路供电切换时是否能够对计 算机系统正常供电 是否定期检查备用供电系统 如备 用发电机 是否能够在规定时间内正常启动和正常供 电 d 应检查机房是否有电力供应安全设计 验收文档 查 看文档中是否标明单独为计算机系统供电 配备稳压器 过电压防护设备 备用电源设备以及冗余或并行的电 力电缆线路等要求 查看与机房电力供应实际情况是否 一致 e 应检查计算机供电线路 查看计算机系统供电是否与 其他供电分开 f 应检查机房 查看计算机系统供电线路上的稳压器 过电压防护设备和短期备用电源设备是否正常运行 查 看供电电压是否正常 g 应检查是否有稳压器 过电压防护设备以及短期备用 电源设备等电源设备的检查和维护记录 以及冗余或并 行的电力电缆线路切换记录 备用供电系统运行记录 以及上述计算机系统供电的运行记录 是否能够符合系 统正常运行的要求 h 应测试安装的冗余或并行的电力电缆线路 如双路供 电方式 是否能够进行双路供电切换 i 应测试备用供电系统 如备用发电机 是否能够在规 定时间内正常启动和正常供电 访谈 检查 测 试 物理安全负责人 机房维护人员 机房设施 电 力供应安全设计 验收文档 检 查和维护记录 第6页共6页 b 应保证网络各个部分的带宽满足业务 高峰期需要 咨询服务 在关键设备上配置带 宽控制策略 已满足业务高峰要 求 c 应在业务终端与业务服务器之间进行 路由控制建立安全的访问路径 咨询服务 在边界设备上配置路 由策略 保障业务终端和业务服 务器之间的访问路径安全 d 应绘制与当前运行情况相符的网络拓 扑结构图 咨询服务 协助绘制正确的网络 拓扑结构图 e 应根据各部门的工作职能 重要性和 所涉及信息的重要程度等因素 划分不同 的子网或网段 并按照方便管理和控制的 原则为各子网 网段分配地址段 咨询服务 进行安全域划分 并 对网段 IP进行统一合理规划 f 应避免将重要网段部署在网络边界处 且直接连接外部信息系统 重要网段与其 他网段之间采取可靠的技术隔离手段 部署UTM FW 隔离机 g 应按照对业务服务的重要次序来指定 带宽分配优先级别 保证在网络发生拥堵 的时候优先保护重要主机 部署并配置交换机 UTM FW 流 控产品 负载均衡产品 终端安 全管理 7 1 2 2 访问控制 G3 a 应在网络边界部署访问控制设备 启 用访问控制功能 a 可访谈安全员 询问采取的网络访问控制措施有哪些 询问访问控制策略的设计原则是什么 询问访问控制 策略是否做过调整 以及调整后和调整前的情况如何 b 应检查边界网络设备 查看其是否根据会话状态信息 如包括数据包的源地址 目的地址 源端口号 目的 端口号 协议 出入的接口 会话序列号 发出信息的 主机名等信息 并应支持地址通配符的使用 对数据流 进行控制 c 应检查边界网络设备 查看其是否对进出网络的信息 内容进行过滤 实现对应用层HTTP FTP TELNET SMTP POP3等协议命令级的控制 d 应检查边界网络设备 查看是否能设置会话处于非活 跃的时间或会话结束后自动终止网络连接 查看是否能 设置网络最大流量数及网络连接数 e 应检查主要网络设备 查看是否有访问控制措施 如 VLAN 访问控制列表 MAC地址绑定 控制便携式和移 动式设备接入网络 f 应测试边界网络设备 可通过试图访问未授权的资源 验证访问控制措施对未授权的访问行为的控制是否有 效 如可以使用扫描工具来探测等 g 应测试主要网络设备 可通过试图用移动设备接入网 络 验证网络设备的访问控制策略是否有效 h 应对网络访问控制措施进行渗透测试 可通过采用多 种渗透测试技术 如http隧道等 验证网络访问控制 措施是否不存在明显的弱点 访谈 检查 测 试 安全员 边界网 络设备 包括网 络安全设备 部署交换机 FW UTM等 b 应能根据会话状态信息为数据流提供 明确的允许 拒绝访问的能力 控制粒度 为端口级 部署FW UTM IPS 7 1 技术 要求 7 1 2 网络 安全 7 1 2 1 结构安全 G3 a 可访谈网络管理员 询问信息系统中的边界和主要网 络设备的性能以及目前业务高峰流量情况 b 可访谈网络管理员 询问网段划分情况以及划分的原 则 询问重要的网段有哪些 对重要网段的保护措施有 哪些 c 可访谈网络管理员 询问网络的带宽情况 询问网络 中带宽控制情况以及带宽分配的原则 d 可访谈网络管理员 询问网络设备上的路由控制策略 措施有哪些 这些策略设计的目的是什么 e 应检查网络拓扑图 查看其与当前运行情况是否一致 f 应检查网络设计 验收文档 查看是否有边界和主要 网络设备能满足基本业务需求 网络接入及核心网络的 带宽能满足业务高峰期的需要 是否不存在带宽瓶颈等 方面的设计或描述 g 应检查网络设计 验收文档 查看是否有根据各部门 的工作职能 重要性和所涉及信息的重要程度等因素 划分不同的子网或网段 并按照方便管理和控制的原则 为各子网和网段分配地址段的设计或描述 h 应检查边界和主要网络设备 查看是否配置路由控制 策略 如使用静态路由等 建立安全的访问路径 i 应检查边界和主要网络设备 查看重要网段是否采取 了网络地址与数据链路地址绑定的措施 如对重要服务 器采用IP地址和MAC地址绑定措施 j 应检查边界和主要网络设备 查看是否有对带宽进行 控制的策略 如路由 交换设备上的QOS策略配置情况 专用的带宽管理设备的配置策略等 这些策略能否保 证在网络发生拥堵的时候优先保护重要业务 如重要业 务的主机的优先级要高于非重要业务的主机 k 应测试网络拓扑结构 可通过网络拓扑结构自动发现 绘制工具 验证实际的网络拓扑结构和网络拓扑结构 图是否一致 l 应测试业务终端与业务服务器之间的访问路径 可通 过使用路由跟踪工具 如tracert等工具 验证业务 终端与业务服务器之间的访问路径是否安全 如访问路 径是否固定等 m 应测试重要网段 验证其采取的网络地址与数据链路 地址绑定措施是否有效 如试图使用非绑定地址 查看 是否能正常访问等 n 应测试网络带宽分配策略 可通过使用带宽测试工具 测试网络带宽分配是否有效 访谈 检查 测 试 网络管理员 边 界和主要网络设 备 网络拓扑图 网络设计 验 收文档 第7页共7页 c 应对进出网络的信息内容进行过滤 实现对应用层HTTP FTP TELNET SMTP POP3等协议命令级的控制 部署UTM IPS 上网行为管理 产品 网络审计 d 应在会话处于非活跃一定时间或会话 结束后终止网络连接 部署FW UTM e 应限制网络最大流量数及网络连接数 部署FW UTM f 重要网段应采取技术手段防止地址欺 骗 部署FW UTM 内网管理IP MAC 绑定功能 g 应按用户和系统之间的允许访问规则 决定允许或拒绝用户对受控系统进行资 源访问 控制粒度为单个用户 部署FW UTM 网络审计 终端 安全管理 h 应限制具有拨号访问权限的用户数量 部署FW UTM 内网管理 拨号访问控制 a 应在基于安全属性的允许远程用户对 系统访问的规则的基础上 对系统所有资 源允许或拒绝用户进行访问 控制粒度为 单个用户 b 应限制具有拨号访问权限的用户数量 c 应按用户和系统之间的允许访问规则 决定允许用户对受控系统进行资源访问 a 可访谈安全员 询问是否允许拨号访问网络 询问对 拨号访问控制的策略是什么 采取什么技术手段实现拨 号访问控制 如使用防火墙还是使用路由器实现 采 取的拨号访问用户的权限分配原则是什么 询问对保护 访问的认证方式有哪些 b 应检查边界网络设备 如路由器 防火墙 认证网关 查看是否正确的配置了拨号访问控制列表 对系统 资源实现允许或拒绝访问 控制粒度是否为单个用户 查看其能否限制拨号访问权限的用户数量 c 应测试边界网络设备 可通过试图非授权的访问 验 证拨号访问措施能否有效对系统资源实现允许或拒绝用 户访问的控制 d 应测试边界网络设备 可使用测试拨号连接数工具 验证其限制具有拨号访问权限的用户数量的功能是否有 效 访谈 检查 测 试 安全员 边界网 络设备 包括网 络安全设备 违规外联控制系统 7 1 技术 要求 7 1 2 网络 安全 7 1 2 2 访问控制 G3 a 可访谈安全员 询问采取的网络访问控制措施有哪些 询问访问控制策略的设计原则是什么 询问访问控制 策略是否做过调整 以及调整后和调整前的情况如何 b 应检查边界网络设备 查看其是否根据会话状态信息 如包括数据包的源地址 目的地址 源端口号 目的 端口号 协议 出入的接口 会话序列号 发出信息的 主机名等信息 并应支持地址通配符的使用 对数据流 进行控制 c 应检查边界网络设备 查看其是否对进出网络的信息 内容进行过滤 实现对应用层HTTP FTP TELNET SMTP POP3等协议命令级的控制 d 应检查边界网络设备 查看是否能设置会话处于非活 跃的时间或会话结束后自动终止网络连接 查看是否能 设置网络最大流量数及网络连接数 e 应检查主要网络设备 查看是否有访问控制措施 如 VLAN 访问控制列表 MAC地址绑定 控制便携式和移 动式设备接入网络 f 应测试边界网络设备 可通过试图访问未授权的资源 验证访问控制措施对未授权的访问行为的控制是否有 效 如可以使用扫描工具来探测等 g 应测试主要网络设备 可通过试图用移动设备接入网 络 验证网络设备的访问控制策略是否有效 h 应对网络访问控制措施进行渗透测试 可通过采用多 种渗透测试技术 如http隧道等 验证网络访问控制 措施是否不存在明显的弱点 访谈 检查 测 试 安全员 边界网 络设备 包括网 络安全设备 第8页共8页 7 1 2 3 安全审计 G3 a 应对网络系统中的网络设备运行状况 网络流量 用户行为等进行日志记录 a 可访谈审计员 询问网络系统中的边界和关键网络 设备是否设置安全审计 包括哪些项 询问审计记录的 主要内容有哪些 对审计记录的处理方式有哪些 b 应检查边界和主要网络设备 查看审计记录是否包 含网络系统中的网络设备运行状况 网络流量 用户行 为等 c 应检查边界和主要网络设备 查看事件审计记录是 否包括 事件的日期和时间 用户 事件类型 事件成 功情况 及其他与审计相关的信息 d 应检查边界和主要网络设备 查看是否可以对特定 事件 按照指定方式进行实时报警 如声音 EMAIL 短 信等 e 应检查边界和主要网络设备 查看是否为授权用户 浏览和分析审计数据提供专门的审计工具 如对审计记 录进行分类 排序 查询 统计 分析和组合查询等 并能根据需要生成审计报表 f 应测试边界和主要网络设备 可通过以某个用户试 图产生一些重要的安全相关事件 如鉴别失败等 验 证安全审计的覆盖情况和记录情况与要求是否一致 g 应测试边界和主要网络设备 可通过以某个系统用 户试图删除 修改或覆盖审计记录 验证安全审计的保 护情况与要求是否一致 访谈 检查 测 试 审计员 边界和 主要网络设备 部署网管系统 网络审计 流量 分析系统 安全管理平台 b 审计记录应包括 事件的日期和时间 用户 事件类型 事件是否成功及其他 与审计相关的信息 部署网络审计 c 应能够根据记录数据进行分析 并生 成审计报表 部署网络审计 d 应对审计记录进行保护 避免受到未 预期的删除 修改或覆盖等 部署网络审计 7 1 2 4 边界完整 性检查 S3 a 应能够对非授权设备私自联到内部网 络的行为进行检查 准确定出位置 并对 其进行有效阻断 a 可访谈安全员 询问是否有对内部用户未通过准许 私自联到外部网络的行为 对非授权设备私自联到网络 的行为进行监控的措施 具体采取什么措施 询问网络 内 非法外联 的情况 b 应检查边界完整性检查设备运行日志 查看运行是 否正常 查看是否持续对网络进行监控 c 应检查边界完整性检查设备 查看是否设置了同时 对非法联接到内网和非法联接到外网的行为进行监控 查看是否对发现的非法联接行为进行有效的阻断 d 应测试边界完整性检查设备 测试是否能有效的发 现 非法外联 的行为 如产生非法外联的动作 查看 边界完整性检查设备是否能够发现该行为 e 应测试边界完整性检查设备 测试是否确定出 非 法外联 设备的位置 并对其进行有效阻断 如产生非 法外联的动作 查看边界完整性检查设备是否能够准确 定位并阻断 f 应测试边界完整性检查设备 测试是否能够对非授 权设备私自联到网络的行为进行检查 并准确定出位置 对其进行有效阻断 如产生非法接入的动作 查看测 试边界完整性检查设备是否能准确的发现 准确的定位 并产生阻断 访谈 检查 测 试 安全员 边界完 整性检查设备 边界完整性检查 设备运行日志 部署终端安全管理 防止非法接 入功能 同时利用UTM和天珣的 配合 b 应能够对内部网络用户私自联到外部 网络的行为进行检查 准确定出位置 并 对其进行有效阻断 部署终端安全管理 非法外联监 控 7 1 技术 要求 7 1 2 网络 安全 第9页共9页 7 1 2 5 入侵防范 G3 a 应在网络边界处监视以下攻击行为 端口扫描 强力攻击 木马后门攻击 拒 绝服务攻击 缓冲区溢出攻击 IP碎片攻 击和网络蠕虫攻击等 a 可访谈安全员 询问网络入侵防范措施有哪些 是否 有专门的设备对网络入侵进行防范 询问网络入侵防范 规则库的升级方式 b 应检查网络入侵防范设备 查看是否能检测以下攻击 行为 端口扫描 强力攻击 木马后门攻击 拒绝服务 攻击 缓冲区溢出攻击 IP碎片攻击 网络蠕虫攻击等 c 应检查网络入侵防范设备 查看入侵事件记录中是否 包括入侵的源IP 攻击的类型 攻击的目的 攻击的时 间等 d 应检查网络入侵防范设备 查看其生产厂商是否为正 规厂商 规则库是否为最新 e 应测试网络入侵防范设备 验证其监控策略是否有效 如模拟产生攻击动作 查看网络入侵防范设备的反应 f 应测试网络入侵防范设备 验证其报警策略是否有效 如模拟产生攻击动作 查看网络入侵防范设备是否能 实时报警 访谈 检查 测 试 安全员 网络入 侵防范设备 部署IDS UTM IPS Ddos产 品 b 当检测到攻击行为时 记录攻击源IP 攻击类型 攻击目的 攻击时间 在发 生严重入侵事件时应提供报警 7 1 2 6 恶意代码 防范 G3 a 应在网络边界处对恶意代码进行检测 和清除 a 可访谈安全员 询问系统中的网络防恶意代码防范措 施是什么 询问恶意代码库的更新策略 询问防恶意代 码产品的有哪些主要功能 询问系统是否发生过针对恶 意代码入侵的安全事件 b 应检查设计 验收文档 查看其是否有在网络边界及 核心业务网段处有对恶意代码采取相关措施 如是否有 防病毒网关 防恶意代码产品是否有实时更新的功能 的描述 c 应检查恶意代码产品运行日志 查看是否持续运行 d 应检查在网络边界及核心业务网段处是否有相应的防 恶意代码的措施 e 应检查防恶意代码产品 查看是否为正规厂商生产 运行是否正常 恶意代码库是否为最新版本 f 应检查防恶意代码产品的配置策略 查看是否支持恶 意代码防范的统一管理 如查看是否为分布式部署 集 中管理等 访谈 检查 安全员 防恶意 代码产品 设计 验收文档 恶 意代码产品运行 日志 部署IDS UTM IPS 网络防病 毒 防病毒网关等 b 应维护恶意代码库的升级和检测系统 的更新 要求厂商具备持续更新特征库的 能力 7 1 2 7 网络设备 防护 G3 a 应对登录网络设备的用户进行身份鉴 别 a 可访谈网络管理员 询问对关键网络设备的防护措施 有哪些 询问对关键网络设备的登录和验证方式做过何 种特定配置 b 应访谈网络管理员 询问网络设备的口令策略是什么 c 应检查边界和主要网络设备上的安全设置 查看其是 否有对鉴别失败采取相应的措施的设置 查看是否有限 制非法登录次数的功能 d 应检查边界和主要网络设备上的安全设置 查看是否 对边界和主要网络设备的管理员登录地址进行限制 查 看是否设置网络登录连接超时 并自动退出 查看是否 实现设备特权用户的权限分离 查看是否对网络上的对 等实体进行身份鉴别 查看是否对同一用户选择两种或 两种以上组合的鉴别技术来进行身份鉴别 如同时使用 口令和地址绑定等 e 应测试边界和主要网络设备的安全设置 验证鉴别失 败处理措施 如模拟失败登录 观察网络设备的动作等 限制非法登录次数 如模拟非法登录 观察网络设 备的动作等 对网络设备的管理员登录地址进行限制 如使用任意地址登录 观察网络设备的动作等 等功 能是否有效 f 应测试边界和主要网络设备的安全设置 验证其网络 登录连接超自动退出的设置是否有效 如长时间连接无 任何操作 观察观察网络设备的动作等 g 应对边界和主要网络设备进行渗透测试 通过使用各 种渗透测试技术 如口令猜解等 对网络设备进行渗透 测试 验证网络设备防护能力是否符合要求 访谈 检查 测 试 网络管理员 边 界和主要网络设 备 1 通过设备本身的安全配置来 实现身份鉴别 2 通过安全产品来实现身份鉴 别 如CA 动态口令卡 USB Key 指纹认证 生物认证 b 应对网络设备的管理员登录地址进行 限制 借助网络设备自身的认证功能 c 网